Publicado originalmente em The Marker, Cyber Magazine.
Numa era em que os hackers escondem código malicioso em pixéis e metadados, OPSWAT utiliza a tecnologia Deep CDR que desconstrói cada ficheiro até aos seus elementos brutos e reconstrói uma versão completamente limpa. Noam Gavish, um arquiteto de cibersegurança, explica a lógica subjacente à tecnologia e, em conjunto, a forma como formam um sistema de defesa com várias camadas.
Numa das organizações de segurança de Israel, a equipa interna de cibersegurança começou a mexer-se desconfortavelmente nos seus lugares devido a uma ameaça vinda de uma direção inesperada. A sua preocupação não era com a infiltração - a ameaça cibernética comum - mas sim com o que poderia vazar, sem ser notado. Temiam que informações sensíveis - como nomes de código, localizações e identidades - pudessem estar escondidas em ficheiros aparentemente inocentes: Documentos Word, metadados de imagens ou mesmo nos próprios pixéis. Os sistemas DLP não conseguiam detectá-las, os especialistas não sabiam o que procurar e a situação parecia uma ameaça invisível sem solução. Essa lacuna foi colmatada pela tecnologia Deep CDR da OPSWAT, que decompõe o ficheiro nos seus componentes essenciais e o reconstrói apenas com os objectos necessários.
"A ideia é simples e baseia-se no pressuposto de que todos os ficheiros são suspeitos, de acordo com a abordagem Zero Trust", afirma Noam Gavish, arquiteto de cibersegurança na OPSWAT. "O sistema Deep CDR decompõe cada ficheiro, retém apenas os elementos necessários à sua funcionalidade e reconstrói-o - idêntico ao original, mas completamente limpo. A capacidade do utilizador final de utilizar o ficheiro permanece a mesma, e o sistema permite adaptar o comportamento do módulo com base no tipo de ficheiro e no canal específico. Não tentamos determinar se algo no ficheiro é bom ou mau. Se não for essencial, não entra."
Para ilustrar a lógica, Gavish refere-se ao ataque de Antraz em setembro de 2001 - uma semana após o 11 de setembro - durante o qual foram enviadas cartas contendo esporos de Antraz a vários meios de comunicação social dos EUA e a dois senadores, matando cinco pessoas e infectando outras 17. "Aplicado à nossa tecnologia - se um cliente recebe uma carta pelo correio, o nosso sistema reescreve-a palavra por palavra numa nova página - sem incluir o pó branco suspeito que alguém possa ter espalhado no interior."
Então, em vez de verificar se um ficheiro é perigoso, parte-se do princípio que é e não o deixa entrar de todo?
"Exatamente. Qualquer coisa desnecessária - mesmo que não possamos explicar porquê - simplesmente não passa. Não há necessidade de determinar se é malicioso. Se não for necessário, é excluído", enfatiza Gavish. "O objetivo não é a deteção - é minimizar a superfície de ataque ao mínimo absoluto. Mesmo que uma ameaça não seja visível, não tem hipótese. Isto baseia-se num profundo conhecimento psicológico: As pessoas temem o que não compreendem - e nós tratamos os ficheiros da mesma forma. É uma espécie de mecanismo de sobrevivência".
Equilíbrio entre cibersegurança e disponibilidade da informação
A tecnologia descrita por Gavish - Content Disarm and Reconstruction, ou CDR - não é nova no mercado, mas OPSWAT melhorou-a para lidar com ficheiros altamente complexos, incluindo arquivos, ficheiros multimédia e documentos com macros activas. Esta capacidade alargada valeu-lhe o nome Deep CDR.
Ainda assim, Gavish enfatiza que Deep CDR é apenas um componente de uma plataforma completa projetada para proteger as organizações - especialmente infraestruturas críticas - em todos os canais de troca de informações. Isso começa com sistemas de e-mail, se estende a dispositivos USB conectados a endpoints e inclui interfaces de sistemas internos. Cada arquivo, de qualquer origem, passa por uma verificação de segurança em várias camadas.
Isto é cada vez mais importante à medida que as superfícies de ataque se expandem, especialmente com ataques à cadeia de fornecimento, em que os hackers visam terceiros para obter acesso a uma organização. Os piratas informáticos também identificam os pontos fracos das organizações - por exemplo, os departamentos de RH, que recebem dezenas de currículos diariamente, muitas vezes sob a forma de PDFs ou imagens, com sistemas operativos completos escondidos por trás. As equipas de RH tendem a ser os maiores receptores de ficheiros do Office, mas são frequentemente os que têm menos consciência da cibersegurança. Outro ponto fraco: os suportes amovíveis, que podem conter malware.
"Não confiamos apenas no Deep CDR porque nenhum módulo pode resolver todos os desafios", explica Gavish. "Antes de um ficheiro chegar ao CDR, passa por vários motores antivírus - mais de 30, dependendo do pacote. Depois, passa pelo Deep CDR e, em seguida, pelo sistema Sandbox do OPSWAT, que descodifica o ficheiro, analisa o código e determina o que faz - ou faria - com uma entrada específica."
O princípio de organização é não confiar num único mecanismo de deteção, mas sim numa segurança em camadas: Se o antivírus deixar passar alguma coisa, o Deep CDR reconstrói o ficheiro. Se Deep CDR não remover nada suspeito ou se for necessária mais clareza, Sandbox analisa o seu comportamento. Só se nada for considerado suspeito é que o ficheiro é autorizado a entrar na organização.
Para demonstrar o poder do OPSWAT como uma plataforma abrangente, Gavish compara a arquitetura de segurança da empresa com os castelos medievais - que utilizavam defesas em camadas para derrubar os atacantes. "Na cibersegurança, tudo se resume a camadas. Como um castelo: primeiro um fosso, depois um portão de ferro, arqueiros e óleo fervente derramado de cima. Deep CDR não é mágico - é mais um tijolo na muralha. E um castelo sem muros não é um castelo".
Trata-se, portanto, de uma combinação tecnológica e de uma série de processos?
"Sim, porque Deep CDR é bom para algumas coisas e Sandbox para outras - em conjunto, proporcionam uma cobertura total. Sozinhos, não conseguem lidar com todos os cenários. Por exemplo, combinamos Deep CDR com verificações antivírus e Sandbox para detetar ataques sofisticados que cada camada isoladamente pode não detetar. Não estamos a oferecer apenas uma solução de segurança pontual - mas uma plataforma de várias camadas. Criámos uma plataforma de segurança circular, não barreiras isoladas: verificação multimotores, análise comportamental e o núcleo - a tecnologia Deep CDR que reconstrói cada ficheiro de forma limpa, sem fazer perguntas."
Atualmente, a plataforma suporta 190 tipos de ficheiros - DOC, PDF, ZIP, imagens, áudio, vídeo, etc. - o dobro da norma da indústria. Também adapta os níveis de segurança ao caminho, configuração e destino do ficheiro.
"A proteção abrange todo o panorama de ameaças, mas cada ameaça tem a sua própria natureza", afirma Gavish. "Também não queremos interromper o fluxo de dados ou atrasar as operações. A ideia não é bloquear o mundo - mas reintroduzi-lo de forma limpa - equilibrando a segurança e a disponibilidade. É como beber de um riacho potencialmente contaminado - usa-se uma pastilha de purificação e abdica-se de minerais no processo. Mas se a pastilha fosse mais inteligente, poderia purificar e preservar os minerais. É esse o nosso objetivo - fornecer dados na sua estrutura original, sem o conteúdo malicioso oculto - sempre personalizáveis de acordo com as suas necessidades."
Proteger todos os pontos de entrada da organização
Fundada em 2002 com o objetivo de proteger as infra-estruturas críticas contra as ciberameaças, OPSWAT serve atualmente cerca de 2.000 clientes em mais de 80 países. A empresa tem escritórios na América do Norte, Europa (incluindo o Reino Unido, Alemanha, Hungria, Suíça, Roménia, França e Espanha), Ásia (Índia, Japão, Taiwan, Vietname, Singapura e Emirados Árabes Unidos), entre outros.
Em Israel, OPSWAT fornece soluções de cibersegurança a centenas de organizações líderes.
O próprio Gavish tem estado imerso na cibersegurança desde 2007, alternando entre o ataque e a defesa. Começou na indústria da defesa e mais tarde trabalhou em funções de "equipa vermelha" e de "equipa azul" em empresas de cibersegurança. OPSWAT é conhecida pela sua proteção de infra-estruturas críticas - água, eletricidade, transportes e defesa - mas, na realidade, a sua plataforma de cibersegurança é adequada para qualquer organização.
Sugiro que se alargue a definição de "infra-estruturas críticas". Todas as organizações têm algo crítico. Se um jornal não pode imprimir porque um malware desliga as impressoras - isso é um desastre. Para eles, as prensas são infra-estruturas críticas. Se uma seguradora de saúde vazar dados confidenciais de clientes - isso é devastador. Nesse caso, os dados são a infraestrutura crítica. Se um pirata informático interrompe um controlador de elevador - um cenário muito real - o controlador torna-se crítico. Qualquer ponto de contacto para os dados - entrada ou saída - é um risco potencial, e estamos preparados para o proteger. Digo sempre: ao defender sistemas críticos, não pense apenas na Internet - pense em todas as portas possíveis. Por vezes, não se trata de um servidor ou de uma porta, mas de uma porta das traseiras no 30º andar. Num mundo em que podemos ser atacados através de um e-mail ou de um ficheiro aparentemente inocente, só aqueles que pensam em todos os ângulos estão verdadeiramente preparados. O sistema da OPSWATfoi concebido para isso: proteger endpoints, servidores de correio eletrónico, quiosques para ligar dispositivos externos e até sistemas de transferência de ficheiros unidireccionais (Data Diode). Num mundo em que até um simples ficheiro de imagem pode conter código de ataque incorporado, decompô-lo e reconstruí-lo de forma limpa faz todo o sentido - não é paranoia."
Em sintonia com os tempos, qual é a sua utilização da IA?
"A IA tornou-se uma palavra da moda, mas OPSWAT não a utiliza apenas para se exibir - apenas quando é verdadeiramente útil. 99% dos motores antivírus que afirmam utilizar IA estão a utilizar ML - Machine Learning. Dito isto, a IA é excelente na criação de novas técnicas de ataque, pelo que as defesas em camadas são fundamentais. Não nos baseamos apenas em assinaturas conhecidas".
No entanto, mesmo a segurança em camadas não é estanque. Na cibersegurança, não existe uma proteção a 100%.
"Correto - e na OPSWAT, nós compreendemos isso. É por isso que a nossa abordagem neutraliza as ameaças, independentemente de serem detectadas, conhecidas ou listadas em qualquer base de dados. O jogo do gato e do rato entre atacantes e defensores nunca terá fim - por isso não tentamos ganhá-lo com uma ferramenta. Construímos muros, portões, pontes e posicionamos arqueiros. Não há 100%, mas há uma plataforma em que se pode confiar".
